![[2024年1月-2024年3月] AWSセキュリティアップデートまとめ](https://devio2023-media.developers.io/wp-content/uploads/2024/03/d0c117e3bc3e0174e976c1f4989c9748.png)
[2024年1月-2024年3月] AWSセキュリティアップデートまとめ
2024年1月〜2024年3月にリリースされたAWSセキュリティにまつわるアップデートをまとめてみました。是非本記事でキャッチアップして下さい。
2024.03.31こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。
皆さん、ちゃんとAWSサービスのアップデート情報はキャッチアップ出来てますか?
本記事では、直近3ヶ月にリリースされたAWSセキュリティにまつわるサービスアップデート情報をまとめてみました。皆さんもこの機会に是非キャッチアップしましょう!
本記事の前提
- 集計期間
- 2024/01/01〜2024/03/31
- 情報取得元
- What's New with AWS?(英語版)
- カテゴリーフィルターとして
Security, Identity, & Complianceを選択
- 分類について
- 各アップデート情報を
セキュリティとガバナンスに大別しています - 明確な分類基準は無く、AWS CloudTrailやAWS Configなど、ログにまつわる機能など環境を統制するような機能のアップデートは
ガバナンスに入れています。それ以外はセキュリティです。ご了承下さい - この分類方法は今後変える可能性があります
- 各アップデート情報を
- 集計項目について
- 下記アップデートについては集計対象外としていますのでご了承下さい
- 一部サードパーティ製品に関するアップデート
- 一部リージョンのアップデート
- 下記アップデートについては集計対象外としていますのでご了承下さい
アップデート一覧
今回の集計期間中にはAWS re:InventやAWS re:Inforceなどの大きなイベントが無かったため、件数的には約30件と少なめになっています。
セキュリティ系
1月
- AWS Service Quotas で Amazon Cognito アイデンティティプールのクォータ管理が可能に
- Amazon Lightsail での WordPress セットアップの簡素化
- Amazon Route 53 Resolver DNS Firewall で、クエリタイプフィルタリングのサポートを開始
- Amazon Inspector が EC2 インスタンスのオペレーティングシステムの CIS ベンチマーク評価のサポートを開始
- AWS Payment Cryptography がキーのインポートとエクスポートのための追加オプションを提供
- AWS Private CA で Matter 証明書の失効のサポートを開始
- API の制限に対応するプロビジョニングされたキャパシティが Amazon Cognito で利用可能に
2月
- Amazon Cognito が SAML フェデレーション用の署名、暗号化、および ID プロバイダー開始 SSO を追加
- AWS WAF が Captcha の改善を発表
- Amazon GuardDuty Malware Protection が EBS マネージドキー暗号化ボリュームのスキャンを新たにサポート
- AWS IoT Core がサーバー証明書のオンライン証明書ステータスプロトコルステープリングをサポート
- Amazon GuardDuty ランタイムモニタリングが共有 VPC で実行されているクラスターを保護
- AWS Backup で Amazon Aurora 継続的バックアップの復元テストのサポートを開始
3月
- AWS WAF がレートベースのルールを強化し、設定可能な時間枠をサポート
- AWS WAF がリージョナルリソースに対して大規模なリクエストボディの検査をサポート
- Amazon Verified Permissions が認証 API のデフォルトクォータを増加
- AWS Backup が Amazon Elastic Block Store (EBS) スナップショット アーカイブの復元テストをサポート
- AWS Secrets Manager が Amazon Redshift Serverless データウェアハウスをサポート
- IAM Roles Anywhere が最大 12 時間有効な認証情報をサポート
- Amazon GuardDuty EC2 ランタイムモニタリングの一般提供が開始
ガバナンス系
1月
無し
2月
- Amazon Security Lake が Amazon EKS からの監査ログのサポートを開始
- Amazon Security Lake で OCSF 1.1.0 と Apache Iceberg によって分析パフォーマンスが向上
3月
個人的に気になったアップデート
以下、個人的に気になったアップデートを抜粋しました。
弊社ブログ記事があるアップデートについては該当の記事リンクを添付しておりますので、良ければそちらも併せてご参照下さい。
セキュリティ系
- AWS WAF
- AWS WAF が Captcha の改善を発表
- AWS WAF Captcha で、8 つの言語での音声 Captcha のサポート、操作性が向上する新しい Captcha タイプ、取り消し可能な API キーが追加されました。弊社ブログはこちら
- AWS WAF がレートベースのルールを強化し、設定可能な時間枠をサポート
- 今まで最短の指定期間が5分と使い辛かったAWS WAFのレートベースの最短期間が1分に短縮されました。また、その期間を1分、2分、5分、10分の中から選択出来るようになりました。弊社ブログはこちら
- AWS WAF がリージョナルリソースに対して大規模なリクエストボディの検査をサポート
- ALBとAppSyncは未対応ですが、API Gatewayなど一部のリージョナルサービスで検査上限がデフォルト16KB、最大64KBになりました。今までは上限が8KBで8KBを超えるボディを持つリクエストは検査されないという仕様になっていました。弊社ブログはこちら
- AWS WAF が Captcha の改善を発表
- Amazon Cognito
- Amazon Cognito ユーザープールがアクセストークンのカスタマイズ機能のサポートを開始
- Amazon Cognitoのユーザープールが、アクセストークンのカスタム属性として、OAuth 2.0のスコープとクレームの形式を利用出来るようになりました。
- AWS Service Quotas で Amazon Cognito アイデンティティプールのクォータ管理が可能に
- AWSサービスの各リソースクォータが確認出来る機能が、Amazon CognitoのアイデンティティプールAPIのクォータにも対応しました。
- API の制限に対応するプロビジョニングされたキャパシティが Amazon Cognito で利用可能に
- 今まで高頻度なリクエストのためにはアクティブユーザーの実績を伴う上限緩和が必要でしたが、それが不要になりました。ただし有償です。弊社ブログはこちら
- Amazon Cognito が SAML フェデレーション用の署名、暗号化、および ID プロバイダー開始 SSO を追加
- Amazon Cognitoに、SAMLフェデレーションの機能として、リクエストの署名と暗号化、IDプロバイダー開始SSO(シングルサインオン)の3つが追加されました。
- Amazon Cognito ユーザープールがアクセストークンのカスタマイズ機能のサポートを開始
- AWS Security Hub
- AWS Security Hub が 15 の新しいセキュリティコントロールをリリース
- AWS BackupやAmazon Macie、AWS Network Firewallなど、新たなサービスのコントロールが追加されました。弊社ブログはこちら
- AWS Security Hub が 15 の新しいセキュリティコントロールをリリース
- Amazon GuardDuty
- Amazon GuardDuty Malware Protection が EBS マネージドキー暗号化ボリュームのスキャンを新たにサポート
- GuardDutyのマルウェアスキャン機能がAWS管理キーで暗号化されたEBSにも対応しました。今までは暗号化されていないEBSボリューム、カスタマー管理キーで暗号化されたEBSボリュームにのみ対応していました。弊社ブログはこちら
- Amazon GuardDuty ランタイムモニタリングが共有 VPC で実行されているクラスターを保護
- GuardDutyのランタイムモニタリング機能が、複数のAWSアカウントで利用可能な共有VPCにも対応しました。弊社ブログはこちら
- Amazon GuardDuty EC2 ランタイムモニタリングの一般提供が開始
- 遂に来ました、EC2環境のランタイムモニタリングがGAされました!弊社ブログはこちら
- Amazon GuardDuty Malware Protection が EBS マネージドキー暗号化ボリュームのスキャンを新たにサポート
- Amazon Inspector
- Amazon Inspector が EC2 インスタンスのオペレーティングシステムの CIS ベンチマーク評価のサポートを開始
- 脆弱性を管理出来るAmazon Inspectorが、EC2インスタンスのCISベンチマークの評価に対応しました。弊社ブログはこちら
- Amazon Inspector が EC2 インスタンスのオペレーティングシステムの CIS ベンチマーク評価のサポートを開始
- IAM Roles Anywhere
- IAM Roles Anywhere が最大 12 時間有効な認証情報をサポート
- AWS外のワークロードに対してIAMクレデンシャルを提供するIAM Roles Anywhereですが、最大1時間だった認証情報の有効期間が最大12時間まで伸びました。要件によっては1時間だと短い場合もあったと思うので、使いやすくなったのではないでしょうか。
- IAM Roles Anywhere が最大 12 時間有効な認証情報をサポート
ガバナンス系
- Amazon Security Lake
- Amazon Security Lake が Amazon EKS からの監査ログのサポートを開始
- Amazon Security LakeがEKSの監査ログに対応しました。
- Amazon Security Lake で OCSF 1.1.0 と Apache Iceberg によって分析パフォーマンスが向上
- Amazon Security LakeがOpen Cybersecurity Schema Framework (OCSF) v.1.1.0とApache Iceberg テーブルに対応し、セキュリティ分析のクエリパフォーマンスが向上しました。
- Amazon Security Lake が Amazon EKS からの監査ログのサポートを開始
- AWS CloudTrail
- AWS X-Ray が AWS CloudTrail のデータイベントをサポート
- 実質AWS CloudTrailのアップデートです。CloudTrailでAWS X-Rayのデータイベント、管理イベントを記録出来るようになりました。
- AWS X-Ray が AWS CloudTrail のデータイベントをサポート
- AWS Config
- AWS Config がアカウントごとに AWS リージョンあたり 1,000 個の AWS Config ルールをサポート開始
- 今までは1アカウント、1リージョンあたり400だったConfigルールの上限が、1000に増えました。弊社ブログはこちら
- AWS Config がアカウントごとに AWS リージョンあたり 1,000 個の AWS Config ルールをサポート開始
最後に
期間的に大きなイベントが無かったこともあり、件数は少なかったものの嬉しいアップデートもありましたね。
個人的には最近AWS WAFが良い感じのアップデートを連発してくれてるのでとても嬉しいです。
本記事が皆さんのキャッチアップの場となれば幸いです。
以上、べこみんでした。
![[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-bac3d29aa65f45576f73094798087ee5/039ad6f8a7d8f18da47986d21c447f48/amazon-ec2)
